Aver nominato un Data Protection Officer in conflitto di interessi è costato una sanzione da 525.000 euro a una filiale di un gruppo tedesco di e-commerce.
Il DPO di una filiale del gruppo di e-commerce tedesco era infatti anche amministratore delegato di due società di servizi che trattavano dati personali per conto della società per la quale aveva il ruolo di Data Protection Officer. Le società a loro volta facevano parte del gruppo e si occupavano del servizio clienti e dell’esecuzione degli ordini. “Il DPO doveva quindi vigilare sul rispetto della normativa in materia di protezione dei dati da parte delle società di servizi attive nell’ambito dell’elaborazione degli ordini, che lui stesso gestiva in qualità di amministratore delegato“, spiega il comunicato stampa dell’autorità.
In questa situazione, il garante berlinese aveva riscontrato un conflitto di interessi e quindi una violazione del GDPR già nel 2021, quando aveva formalmente avvertito il gruppo di e-commerce.
Tuttavia, a seguito di un altro controllo effettuato quest’anno l’autorità aveva riscontrato che la violazione era ancora in corso nonostante la diffida, e perciò ha deciso di infliggere la pesante sanzione, che allo stato attuale non è ancora definitiva.
Fonte: Federprivacy